トップ «前の日記(2007-01-17) 最新 次の日記(2007-03-10)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-01-25

_ [etc] JVN#82258242:ショッピングバスケットプロにおける OS コマンドインジェクションの脆弱性

昨年の7月27日に修正されていた問題が、JVNに挙がった。

これは、2006年7月26日に開発者に直接連絡、27日に修正され、開発者の承諾も得て31日にIPAに届け出たもの。しかし「開発者にて修正版が公開されている」ことから、不受理になった。その後 IPA や JPCERT/CC で様々な検討や調整をしたんだと思うけど、広く周知するためということでようやくJVNで公開になった。

5年前に一度ネットサーフレスキューさんに脆弱性の連絡をした際、素早く対応して頂いた経験があったので、この件を見つけた時どちらに先に連絡するか迷ったけど、先に開発者に連絡することにした。すぐに対策版が公開されたものの、JVNをうまく利用できず公開されるのが半年後になってしまい、よかったのか悪かったのか...

ただ昨年9月から、「自社製品に関する 脆弱性関連情報の届出」ということができるようになっているので、開発者に直接連絡した場合でもこれを使って周知することを提案するとよいでしょう。

参考: 情報処理推進機構:セキュリティセンター:脆弱性情報の届出

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析